Китайские госхакеры научились шпионить за пользователями с помощью плеера VLC

ГлавнаяНовостиНовостиНовости, 202204Новости, 202204 → Китайские госхакеры научились шпионить за пользователями с помощью плеера VLC
КиТ :: Будь в СЕТИ!

Подмена библиотеки, связанной с гиперпопулярным медиаплеером, позволила хакерам загружать в целевые системы вредоносный софт. В Symantec считают, что за атаками стоит APT-группировка Cicada, связанная с китайскими спецслужбами.

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Подмена ПО

Хакеры, предположительно связанные со спецслужбами КНР, на протяжении длительного времени использовали популярный медиаплеер VLC для установки вредоносного ПО на целевые системы.

Как установили эксперты компании Symantec, хакеры использовали «чистую» версию VLC, но подгружали вредоносную библиотеку DLL на тот же путь, где располагаются экспортные функции плеера. Эта методика называется DLL Side-Loading (боковая загрузка DLL), и она довольно часто используется для загрузки вредоносов в легитимные процессы. В данном случае в атакуемую систему сбрасывается некий новый загрузчик для дополнительных вредоносных компонентов.

Атаки в большей части случаев были направлены на правительственные учреждения, юридические структуры, религиозные и неправительственные организации. Жертвы атак выявлены как минимум на трех континентах.

По мнению Symantec, за атаками стоит APT-группировка, известная как Cicada (а также menyPass, Stone Panda, Potassium, APT10 и Red Apollo). Эта группа активна уже более 15 лет: первые признаки ее активности датируются 2006 г.

Нынешняя кампания, включающая использование плеера VLC, стартовала в середине 2021 г. и продолжалась как минимум до февраля 2022 г.

Старые уязвимости и общедоступные утилиты

Исследователям Symantec удалось выяснить, что злоумышленники проникали в интересующие их сети, используя известные уязвимости в Microsoft Exchange, и устанавливали серверы WinVNC на зараженных машинах для обеспечения удаленного доступа.

В скомпрометированных сетях активно использовался бэкдор Sodamaster, считающийся эксклюзивным инструментом Cicada.

Sodamaster - бесфайловый вредонос, который способен обнаруживать изолированные среды (песочницы). Благодаря этому, а также функции отложенного запуска, вредонос избегает обнаружения.

Кроме этого, Sodamaster собирает информацию о системе и текущих процессах, загружает и запускает различные вредоносные компоненты с командного сервера.

В скомпрометированных сетях злоумышленники могли проводить до девяти месяцев, оставаясь незамеченными.

Широкой сетью

Объектами атак становились организации в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии. Только одна жертва на этот раз оказалась японской организацией; прежде операторы Cicada интересовались Японией больше всех остальных. Сейчас, однако, географический ареал деятельности группировки существенно расширился.

Как уже указывалось выше, операторов кампании интересовали прежде всего правительственные и неправительственные организации, в том числе, связанные с образованием и религиозными движениями, а также телекоммуникационные компании, юридические фирмы и фармацевтический сектор.

Ранее в США двоим предположительным участникам группировки Cicada/APT10 были предъявлены обвинения в краже интеллектуальной собственности и конфиденциальной бизнес-информации из 45 технологических компаний в США, а также из сервис-провайдеров и госучреждений.

«Залогом успешности кибершпионской кампании является ее длительность. Если хакерам действительно удавалось сохранять присутствие в скомпрометированных сетях на протяжении девяти месяцев, нетрудно представить, какой объем информации они могли вывести оттуда, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Любопытно и то, что операторы использовали для проникновения старые, общеизвестные уязвимости, а не какие-то экзотические инструменты, а также сверхпопулярный плеер с минимальными модификациями. Успех злоумышленников выглядит закономерностью».

KiT - Keep-inTouch :: vkontakteKiT - Keep-inTouch :: odnoklassnikiKiT - Keep-inTouch :: mailRuKiT - Keep-inTouch :: livejournalKiT - Keep-inTouch :: telegramKiT - Keep-inTouch :: viberKiT - Keep-inTouch :: whatsappKiT - Keep-inTouch :: RSS-лента
Группы: ВК|OK
Рубрики
Рубрики (доп.)
Каталог
Новости
Контакты
/*Выпадайка рубрик справа/внизу*/.advert ul,.content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;}.cd-accordion-menu li,.list_menu_compact li{padding:0;margin-left:10px;}.hidden,label+ .cd-accordion-menu,.cd-accordion-menu ul,.hidden:checked+label .equiv{display:none;}.hidden:checked+label+ul,.hidden:checked+label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню-скрыть*/#mob_menu{display:none;}/*Новости-анонс*/#phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202204Новости, 202204 → Китайские госхакеры научились шпионить за пользователями с помощью плеера VLC